본문 바로가기

벌새::Analysis

검색 도우미 : Windows Resource for LinkGuide SDK

반응형

Windows 부팅시 구글(Google) 단축 URL 주소(goo.gl)를 이용하여 다양한 사이트로 자동 연결하는 국내에서 제작된 "Windows Resource for LinkGuide SDK" 광고 프로그램에 대해 살펴보도록 하겠습니다.

 

2015년 9월 22일경부터 배포된 해당 광고 프로그램은 유사 기능을 가진 "Visual Tools for SmartInfo Runtime - English" 광고 프로그램과 연관되어 있으므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\LinkGuide
C:\Program Files\LinkGuide\linkguide.exe :: 시작 프로그램(LinkGuide) 등록 파일
C:\Program Files\LinkGuide\uninstall.exe :: 프로그램 삭제 파일

 

[생성 파일 진단 정보]

 

C:\Program Files\LinkGuide\linkguide.exe
 - SHA-1 : a8cca8def8c3422a125094013f4702edc5a1a5f1
 - AVG : Generic.2E7

 

C:\Program Files\LinkGuide\uninstall.exe
 - SHA-1 : 52ed01390d51a87561f299350cb371ee246393fd
 - AhnLab V3 365 Clinic : PUP/Win32.SearchKey.R93881

WiseCommerce 디지털 서명이 포함된 "Windows Resource for LinkGuide SDK" 광고 프로그램은 "C:\Program Files\LinkGuide" 폴더에 파일을 생성합니다.

 

해당 광고 프로그램은 Windows 시작시 LinkGuide 시작 프로그램을 통해 ["C:\Program Files\LinkGuide\linkguide.exe" init] 파일을 자동 실행하도록 구성되어 있습니다.

자동 실행된 linkguide.exe 파일은 특정 서버에서 추가적인 파일(SmartInfo Software Launcher)을 다운로드하여 임시 폴더(C:\Users\(사용자 계정)\AppData\Local\Temp)에 생성한 후 파일 이름 변경을 통해 다음과 같이 생성합니다.

 

[추가 생성 파일 및 진단 정보]

 

C:\Program Files\LinkGuide\lglc.exe

 - SHA-1 : 509bc736e60aa08abb43c457e45158a7c79cf6e4

 - AhnLab V3 365 Clinic : PUP/Win32.Generic.C1008574

추가 생성되어 자동 실행된 "C:\Program Files\LinkGuide\lglc.exe" 파일은 시작 프로그램 레지스트리 값에 다음과 같은 PersistManager 문자열을 등록합니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - PersistManager = iexplore http://goo.gl/nC7A6l

추가된 구글(Google) 단축 URL 주소값이 포함된 PersistManager 문자열은 Windows 시작시마다 Internet Explorer 웹 브라우저를 자동 실행하여 연결되도록 구성되어 있습니다.

연결된 단축 URL 주소는 특정 광고 서버에서 제휴 코드가 포함된 다양한 검색 키워드 값을 받아와 인터파크(InterPark) 등의 다양한 웹 사이트가 오픈되도록 구성되어 있습니다.

 

"Windows Resource for LinkGuide SDK" 광고 프로그램 삭제 방법

(a) 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 "Windows Resource for LinkGuide SDK" 삭제 항목을 실행하여 프로그램 삭제를 진행하시기 바랍니다.

 

(b) 레지스트리 편집기(regedit)를 실행하여 시작 프로그램에 등록된 PersistManager 문자열을 찾아 삭제하시기 바랍니다.

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - PersistManager = iexplore http://goo.gl/nC7A6l

"Windows Resource for LinkGuide SDK" 광고 프로그램은 삭제 이후에도 부팅시마다 자동으로 다양한 웹 사이트 연결을 시도하는 레지스트리 값을 제거하지 않는 방식으로 광고 행위를 지속할 수 있으므로 주의하시기 바랍니다.

728x90
반응형